Todo director de planta deberá plantearse tarde o temprano la pregunta obligada de ¿cuánto invertir en ciberseguridad industrial?
La consciencia de los altos mandos en temas de ciberseguridad industrial se está incrementando año con año, al grado que están asignando presupuesto para el proyecto inicial de implementación de un plan de ciberseguridad y el mantenimiento anual consecuente.
¿Pero cuanto presupuesto debo dedicar al plan y al mantenimiento anual? Para contestar la pregunta anterior deberás tomar en consideración los siguientes puntos antes de realizar tu presupuesto.
1.- SL-T (Nivel de seguridad objetivo)
El nivel de seguridad lo marca la propia empresa en base a los objetivos de producción, compromisos con sus clientes, regulaciones de gobierno y corporativas. Existen 5 niveles de SL de acuerdo al framework ISA99/IEC62443, que van del Nivel-0 (altamente expuestos a incidentes) hasta el Nivel-4 (reducción de incidentes tanto intencionados de alta sofisticación como accidentales). Recuerda que un nivel de seguridad mayor requiere una inversión más alta y tiempo de los recursos humanos que emplees.
2.- Diseño de red
El diseño de red es parte fundamental de la reducción de incidentes en ciberseguridad. Nuestro diseño base de red industrial OT es similar al de una oficina o ambiente IT, pero no debe realizar un copy-paste como tal. El diseño de red OT requiere tomar en consideración a consciencia de los equipos de control ICS, servidores SCADA, DCS y PLC’s. También parte importante de la red industrial es implementar una estrategia defense-in-depth, la cual minimiza los riesgos con un costo de implementación relativamente bajo. Dentro del diseño de red industrial deberás considerar también la redundancia; existen varios diseños que van desde topología anillo (más económica y veloz) hasta las usadas en IT como la de estrella (más lento y más costosas). Ver artículo relacionado
3.- Equipos de red
El equipo de red son fundamentales para la disponibilidad e integridad de los datos que se transportan en tu red OT. Los equipos de generaciones anteriores brindaban principalmente conexión, sin embargo, los equipos más modernos contribuyen en alta medida en la ciberseguridad y disponibilidad, debido a que pueden implementar redundancia, políticas de acceso, monitoreo, alerta y más funcionalidades.
4.- Equipos ICS, Scada
Conocer tus equipos de planta es primordial para tu ciberseguridad. No puedes proteger lo que no se conoce. Debes contar con un inventario de activos desde los equipos más sencillos (PLC’s, HMI’s, DCS’s, ICS’s) hasta los servidores SCADA, MES.
5.- Costo de tiempos muertos de producción
Conociendo el costo de tiempos muertos de producción te será de gran utilidad en términos cuantitativos para decidir el nivel de seguridad SL y calcular el retorno de inversión de tu plan de ciberseguridad industrial. Ver artículo relacionado
6.- Consultoría especializada
No debes olvidar considerar una consultoría especializada en ciberseguridad industrial. Me ha tocado ver estudios de firmas prestigiosas a nivel internacional que en una fábrica consideraron un framework de trabajo para IT. Esta consultoría solo consideró el 10% de lo que debía ser. Tomate tiempo en evaluar opciones y considerar un framework enfocado a OT. Ver artículo relacionado
Ahora ya cuentas con herramientas para decidir cuanto invertir en tu ciberseguridad industrial.
¿ ya cuentas con tu Plan de CiberSeguridad Industrial ?
Contáctanos para cualquier duda o ayuda que requieras.
Artículo escrito por Pedro Bernardo Montero, director de CSI y consultor Senior. Síguelo en LinkedIn
ISA99 / IEC62443
